웹 인젝션 취약점에 대한 그래프 신경망 - 언어 모델 기반 공격 생성Graph neural network - language model based attack generation for web injection vulnerabilities
웹 인젝션 취약점은 웹 애플리케이션에서 발생하는 가장 심각한 취약점 중 하나로, 시스템 권한 탈취, 데이터 유출, 서비스 거부 등의 피해를 초래한다. 기존 스캐너는 미리 정의된 사전을 참조하는 방식으로 동작하여 맥락에 관계없는 공격을 지나치게 많이 생성하는 문제가 있으며, 사전의 제한된 크기로 인해 다양한 상황에 유연하게 대응하지 못한다. 또한 예외적인 상황에 대한 대응 능력을 높이기 위해 사전의 크기를 무작정 늘리는 것은 요청의 수가 지나치게 늘어나는 문제로 인해 스캐너를 사용하는 보안 전문가에게 부담을 준다. 본 논문에서 제안하는 도구는 그래프 변환한 소스 코드에 대해 각 함수 별로 데이터 흐름을 추적하여 부분 그래프를 추출하고, 동적으로 얻은 함수 호출 스택을 기반으로 그래프를 합성하여 그래프 신경망 - 언어 모델의 입력으로 전달한다. 이후, 공격 문자열의 후보를 얻어 테스트 대상 프로그램에 전달하고 공격의 성공 여부를 판단한다. 이후 실제 세계에서 비롯한 132개의 SQL 인젝션 및 커맨드 인젝션 취약점으로 구성된 벤치마크에 대해 성능을 평가하고 비교 실험을 진행한 결과 그 중 89.39% 에 해당하는 118개 취약점에 대한 1,070 개 공격 생성을 적은 수의 요청으로도 성공하여 본 논문의 방법이 효과적임을 보였다.
- Advisors
- Son, Sooelresearcher
- Description
- 한국과학기술원 :정보보호대학원,
- Publisher
- 한국과학기술원
- Issue Date
- 2024
- Identifier
- 325007
- Language
- kor
- Description
학위논문(석사) - 한국과학기술원 : 정보보호대학원, 2024.2,[iv, 32 p. :]
- Keywords
Web injection vulnerability▼aGraph neural network▼aNeural language model▼aAutomating vulnerability analysis▼aCode property graph; 웹 인젝션 취약점▼a그래프 신경망▼a신경 언어 모델▼a취약점 분석 자동화▼a코드 속성 그래프
- Appears in Collection
- IS-Theses_Master(석사논문)
- Files in This Item
- There are no files associated with this item.
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.